கோல்ட் விண்டர் சைபர் கிரைம் குரூப்

Hades Ransomware சம்பந்தப்பட்ட தாக்குதல் நடவடிக்கைகளுக்கு GOLD WINTER என தாங்கள் நியமிக்கப்பட்ட புதிதாக நிறுவப்பட்ட ஹேக்கர் குழு பொறுப்பு என்று சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் அதிக நம்பிக்கையுடன் தெரிவித்தனர். ஹேடிஸ் டிசம்பர் 2020 இல் சைபர் கிரைம் மேடையில் தோன்றினார், இதுவரை பல இலக்குகளுக்கு எதிராகப் பயன்படுத்தப்பட்டு வருகிறது. முன்னதாக, பல்வேறு இன்ஃபோசெக் நிறுவனங்கள் தீங்கிழைக்கும் கருவியை HAFNIUM மற்றும் GOLD DRAKE உள்ளிட்ட பல்வேறு ஹேக்கர் குழுக்களுக்குக் காரணம் காட்டின. உண்மையில், GOLD DRAKE ஆனது ஹேடஸ் மற்றும் WastedLocker என்ற பெயரிடப்பட்ட அவர்களது சொந்த ransomware அச்சுறுத்தல் ஆகியவற்றுக்கு இடையேயான பல மேலெழுதல்களின் காரணமாக, CryptOne கிரிப்டரைப் பயன்படுத்தி, ஒரே மாதிரியான நிரலாக்க இடைமுக அழைப்புகளை உள்ளடக்கியது மற்றும் இரண்டு அச்சுறுத்தல்களிலும் ஒரே மாதிரியான பல கட்டளைகள் இருப்பது போன்ற காரணங்களால் சாத்தியமான குற்றவாளியாகத் தோன்றினார். இருப்பினும், செக்யூர்வொர்க்ஸின் ஆராய்ச்சியாளர்கள், அதன் இயக்குனரை ஒரு தனி அச்சுறுத்தல் நடிகராக அமைக்க, ஹேட்ஸ் தாக்குதலைப் பற்றிய போதுமான தனித்துவமான அம்சங்களைக் கண்டறிந்தனர்.

பெரும்பாலான ransomware ஆபரேட்டர்களைப் போலல்லாமல், பாதிக்கப்பட்டவர்களைத் தேடும் போது கண்மூடித்தனமாக இருக்கும், GOLD WINTER அதன் இலக்குகளைத் தேர்ந்தெடுக்கும்போது கடுமையான அளவுகோல்களைக் கொண்டுள்ளது. குழு உயர் மதிப்பு இலக்குகளின் ஒரு சிறிய துணைக்குழுவிற்கு பின் செல்கிறது, முக்கியமாக வட அமெரிக்காவிலிருந்து உற்பத்தி நிறுவனங்கள். ஒவ்வொரு வெற்றிகரமான மீறலிலிருந்தும் தங்கள் லாபத்தை அதிகப்படுத்த ரஷ்ய அடிப்படையிலான ஹேக்கர்களை இது அனுமதிக்கிறது.

GOLD WINTER இன் சிறப்பியல்புகள்

இன்ஃபோசெக் சமூகத்தை தவறாக வழிநடத்தவும், ஹேட்ஸ் ransomware இன் பண்புக்கூறை மிகவும் கடினமாக்கவும் வேண்டுமென்றே நடவடிக்கை எடுப்பதற்கான அறிகுறிகளை குழு காட்டுகிறது. GOLD WINTER பெரும்பாலும் மற்ற உயர்தர ransomware குடும்பங்களில் இருந்து எடுக்கப்பட்ட சமரசம் செய்யப்பட்ட அமைப்புகளின் மீட்புக் குறிப்புகளில் கைவிடப்பட்டது. சில சமயங்களில், HADES ஆனது, எப்படி- DECRYPT-.txt போன்ற பெயர்களைக் கொண்ட ரெவில் குடும்பத்தைச் சேர்ந்தவர்களைப் பின்பற்றும் குறிப்புகளைப் பயன்படுத்தியது, மற்ற பாதிக்கப்பட்டவர்களுக்கு அச்சுறுத்தல் கான்டி ரான்சம்வேரின் குறிப்பைப் பின்பற்றுவதைக் கைவிட்டது (தொடர்புக்கு- DECRYPT.txt).

இருப்பினும், கோல்ட் விண்டர் சில தனித்துவமான அம்சங்களைக் கொண்டுள்ளது. குழு மையப்படுத்தப்பட்ட கசிவு வலைத்தளத்தை நம்பவில்லை, அதன் பாதிக்கப்பட்டவர்களை 'பெயர் மற்றும் அவமானம்'. அதற்குப் பதிலாக, ஒவ்வொரு சமரசம் செய்யப்பட்ட நிறுவனமும் தனிப்பயனாக்கப்பட்ட Tor-அடிப்படையிலான இணையதளத்திற்கு அனுப்பப்பட்டு, தகவல் தொடர்புகளுக்காக வழங்கப்பட்ட பாதிக்கப்பட்ட-குறிப்பிட்ட டாக்ஸ் அரட்டை ஐடியைக் கொண்டுள்ளது. மற்ற ransomware செயல்பாடுகளில் இல்லாத புதிய அணுகுமுறை டாக்ஸ் உடனடி செய்தி சேவையைச் சேர்ப்பது. கூடுதலாக, ஹேட்ஸ் ransomware நிலத்தடி ஹேக்கர் மன்றங்களில் வாங்குவதற்கு கிடைக்கப்பெறவில்லை, இது RaaS (Ransomware as a Service) திட்டத்தில் அச்சுறுத்தல் வழங்கப்படவில்லை மற்றும் அதற்குப் பதிலாக ஒரு தனியார் ransomware கருவியாக இயக்கப்படுகிறது என்பதைக் குறிக்கிறது.